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Angriffe auf Smartphones 


Vorbemerkung der Fragesteller 

Smartphones haben sich mittlerweile zu leistungsfähigen Mini-PCs entwickelt, 
die neben vielfältigen Kommunikationsdiensten wie Telefonie, E-Mail und 
Instant Messaging auch als Speicherplatz für sensible Dokumente und persön- 
lichen Daten dienen. Laut dem B1TKOM (Bundesverband Informationswirt- 
schaft, Telekommunikation und neue Medien e. V.) stiegen die Verkaufszahlen 
von Smartphones im Jahr 2011 im Vörjahresvergleich um 31 Prozent auf 
11,8 Millionen an. Mittlerweile besitzen fast zwei Drittel der Deutschen ein 
Smartphone, das geht aus einer repräsentativen Umfrage hervor, die die 
Bundesministerin für Ernährung, Landwirtschaft und Verbraucherschutz, Ilse 
Aigner, am 24. Oktober 2012 vorstellte. 

Dass die im Betriebssystem der sogenannten mobilen Endgeräte vorinstallier- 
ten Sicherheitsmechanismen jedoch kaum ausreichend sind, um vertrauliche 
Daten angemessen zu schützen, wussten vor nicht allzu langer Zeit noch die 
wenigsten Nutzerinnen und Nutzer. Noch im Jahr 2011 stellte das Bundesamt 
für Sicherheit in der Infonnationstechnik (BSI) in dem Papier „Wie sicher sind 
Smartphones? Sicherheitsrisiken und Schutzmaßnahmen bei der Nutzung von 
Mobilen Endgeräten“ fest, dass in diesem Bereich noch immer großer Infor- 
mationsbedarf herrsche. Die Behörde kam damals im Rahmen einer Befra- 
gung zu dem Schluss, dass ein Drittel der Smartphonenutzer nicht wissen, dass 
ihr Smartphone exakt die gleichen Schutzmaßnahmen wie ihr PC benötigt. 
Das hat sich offenbar im Laufe der Zeit geändert. In der aktuellen Umfrage des 
Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz 
(BMELV) gaben 80 Prozent der Befragten an, auf bestimmte Anwendungen 
zu verzichten, um sich vor Angriffen auf ihr Smartphone zu schützen. 

Das scheint auch notwendig zu sein, denn manipulierte Apps stellen noch 
immer und in zunehmendem Maße ein großes Sicherheitsrisiko dar. Jedes 
fünfte der rund 48 000, für das von Google entwickelte Betriebssystem 
Android, angebotenen Apps ist mit Viren oder Trojanern versehen (Quelle: 
Studie SMobile Systems). Installiert ein Nutzer unwissend solch eine mani- 
pulierte App auf seinem Telefon, verschafft sich diese sogleich Zugriff auf das 
gesamte Betriebssystem und somit auch auf alle persönlichen Ressourcen. Zu- 
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gleich erhielten die deutschen Mobilfunkanbieter ein vernichtendes Urteil, als 
sie vom Securtity Research Lab auf den Schutz vor Spionage getestet wurden. 
T-Mobile und Vodafone wurden dabei mit mangelhaft bewertet, E-Plus und O 2 
sogar mit ungenügend. Das scheint wenig verwunderlich, denn keiner der An- 
bieter hat die zum Schutz vor Spionage notwendige A5/3 Verschlüsselung ein- 
gerichtet (Quelle: WirtschaftsWoche Ausgabe 29/2012). 

Die bisher bekanntesten Smartphone- Viren ZitMo, DroidDream und Droid- 
sheep hatten die Fähigkeit, Smartphones so zu steuern, dass es möglich war, 
Passwörter und für das Onlinebanking notwendige TANs auszuspähen, Be- 
wegungsprofile zu erstellen, sich ohne Kenntnis der Betroffenen in soziale 
Netzwerke einzuklinken, ja sogar Telefongespräche abzuhören, SMS einzuse- 
hen und zu versenden. 

Die Daten, die durch solche Programme unbemerkt erworben werden, sind 
aber nicht nur für Kriminelle interessant. Auch die Anbieter und Entwickler 
der Smartphone-Apps profitieren von den Daten ihrer Kundinnen und Kun- 
den. Nicht selten werden diese dann zu Werbe- und Analysezwecken genutzt 
oder an Dritte weiterverkauft. Apple reagierte bereits auf diese Entwicklung. 
So ist es mit dem Update auf IOS6 notwendig geworden, beim Öffnen einer 
Anwendung derselben eine Nutzungserlaubnis zu erteilen. Dabei wird explizit 
genannt, worauf die jeweilige App zugreifen möchte - beispielsweise auf 
Fotos, den Standort oder das Adressbuch. Ebenso neu ist die Rubrik Daten- 
schutz in den Grundeinstellungen des Telefons. 

Das Potential, welches Smartphones zur Spionage der jeweiligen Nutzerin 
oder des Nutzers bieten, haben mittlerweile auch Staatsregierungen und Er- 
mittlungsbehörden entdeckt. Neben dem bereits in die öffentliche Kritik gera- 
tenen Trojaner FinFisher der Finna Gamma International GmbH, mit dem die 
Rechner von Oppositionellen während der arabischen Revolution bespitzelt 
wurden, gibt es nun auch eine mobile Version des Trojaners. Demzufolge ist es 
längst möglich, Skype-Telefonate oder Facebook-Chats, die über das Smart- 
phone betrieben werden, auszuspionieren. 

Tatsächlich scheint sich auf diesem Gebiet ein neuer Markt zu öffnen. So 
arbeitet die Telekom Deutschland GmbH laut Medienberichten zurzeit an ab- 
hörsicheren Smartphones, um Regierung und Großunternehmen vor Übergrif- 
fen von Hackern und Spionen zu schützen. 

Trotz all dieser Vorkommnisse und entgegen der vom Bundeskriminalamt 
(BKA) gemachten Feststellung einer ,,beginnende[n] Fokussierung auf das 
Zielfeld mobile Endgeräte“ (Cybercrime-Bundeslagebericht 2010) durch Kri- 
minelle meint der Präsident des BKA, Jörg Zierke, dass von Angriffen auf 
Smartphones derzeit keine echte Gefahr ausgeht, und merkt aber zugleich an, 
dass sich die Bedrohungslage in Zukunft jedoch verschärfen wird. 


Vorbemerkung der Bundesregierung 

Die von der Bundesministerin für Ernährung, Landwirtschaft und Verbraucher- 
schutz, Ilse Aigner, vorgestellte Verbraucherumfrage „Sicherheit und Daten- 
schutz bei Smartphones“ wurde durch die Arbeitsgruppe 4 (AG 4) „Vertrauen, 
Datenschutz und Sicherheit“ des IT-Gipfels initiiert. Die Studie wurde von Bun- 
desministerin Ilse Aigner und dem Co- Vorsitzenden der AG 4, Dr. Ottenberg, 
am 24. Oktober 2012 vorgestellt. Nach Aussage des Bundesministeriums für 
Ernährung, Landwirtschaft und Verbraucherschutz hat Bundesministerin Ilse 
Aigner am 24. Oktober 2012 mitgeteilt, dass laut Angaben des Branchenverban- 
des BITKOM von August 2012 70 Prozent der verkauften Handys inzwischen 
Smartphones sind. 
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1 . Liegen der Bundesregierung Statistiken über die Entwicklung der Nutzung 
von Smartphones vor? 

Wenn ja, welche, wie bewertet die Bundesregierung diese, und was sagen 
sie aus über 

a) die Anzahl von Smartphone-Nutzern, 

Circa 28 Prozent aller Deutschen verfügen über ein Smartphone, das sind ca. 
22 Millionen Menschen. Laut Angaben des Branchenverbandes BITKOM vom 
August 2012 sind 70 Prozent der verkauften Handys inzwischen Smartphones. 

b) die Entwicklung von Angriffen auf Smartphones durch Viren oder Mal- 
ware (bitte Statistiken der Antwort beilegen)? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet und 
bewertet Bedrohungen auf Smartphones. Anders als bei PC-Systemen werden 
für Smartphones aktuell keine Angriffe beobachtet, die ohne Interaktion des 
Nutzers durchgeführt werden (wie z. B. Drive-By-Exploits). 

Stattdessen besteht eine Bedrohung durch Apps, die der Nutzer selbst herunter- 
lädt und die Missbrauch mit seinen persönlichen Daten treiben. Eine andere 
Bedrohung sind trojanisierte (bzw. manipulierte) Apps, die der Nutzer aus nicht 
vom Anbieter voreingestellten Quellen (wie z. B. dem AppStore oder Google- 
Play) herunterlädt und die Schadcodes enthalten. Schadprogramme, die auf 
Smartphones beobachtet werden, sind vor allem sogenannte Premium-Dialer 
(die SMS an teure Rufnummern versenden) oder die als Nebenkomponente 
eines Banking-Trojaners auf dem PC dienen (und beispielsweise Bestätigungs- 
SMS des mTAN- Verfahrens abgreifen). Eine quantitative Betrachtung ist aller- 
dings nicht möglich, da Nutzer diese Fälle häufig nicht bemerken und noch 
öfter nicht zur Anzeige bringen. 


2. Wie bewertet die Bundesregierung die Bedrohung durch manipulierte 
Apps, Viren und Malware für Smartphones? 

Generell ist zu beobachten, dass Kriminelle stets neue Technologien angreifen 
und ausnutzen, wenn damit Geld zu verdienen ist. Durch die große Verbreitung 
lohnt sich der Aufwand für Angriffe durch manipulierte Apps und Malware. 
Mechanismen, die dem Smartphone-Nutzer transparent darstellen, welche Risi- 
ken mit der Installation von Apps aus nicht vom Anbieter voreingestellten 
Quellen verbunden sind, etablieren sich erst langsam. 


3. Welche Hersteller, Betriebssysteme und Modelle waren nach Kenntnis der 
Bundesregierung bisher wie oft von Angriffen durch welche manipulierten 
Applikationen betroffen (bitte nach Hersteller, Betriebssystem, Modell und 
manipulierter App aufschlüsseln)? 

Hierzu führt das BSI keine systematische Erhebung durch. Es liegen keine 
detaillierten Zahlen vor. Grundsätzlich ist davon auszugehen, dass über ge- 
schicktes Social Engineering alle Hersteller, Betriebssysteme und Modelle be- 
droht sind. 


4. Ist der Bundesregierung bekannt, wie viele Nutzer bisher von manipulier- 
ten Apps und deren Konsequenzen betroffen sind (wenn ja, bitte die An- 
zahl angeben)? 

Hierzu liegen der Bundesregierung keine Erkenntnisse vor. Weder das BSI noch 
das Bundeskriminalamt (BKA) erheben entsprechende Informationen. 


Drucksache 17/11539 


-4- 


Deutscher Bundestag - 17. Wahlperiode 


5. Wie viele und welche manipulierten Apps mit welchen Funktionsweisen 
sind der Bundesregierung seit wann bekannt (bitte nach manipulierter App, 
Funktionsweise und Datum des Bekanntwerdens aufschlüsseln)? 

Hierzu nimmt das BSI keine systematische Erhebung vor. Grundsätzlich sind 
Applikationen mit Schadfünktionen möglich, die den Verlust der Vertraulich- 
keit, der Integrität/Authentizität (Identitätsdiebstahl) und der Verfügbarkeit der 
Daten auf dem Smartphone zum Ziel haben können. 

Zu der Anzahl manipulierter Apps wird auf die Antwort zu Frage 4 verwiesen. 


6. Welche Daten wurden nach Kenntnis der Bundesregierung bisher mit wel- 
chen Konsequenzen für den Smartphonenutzer durch welche Apps ausge- 
späht? 

Für derartig mobile Endgeräte gelten den bisherigen Feststellungen zufolge die 
gleichen Risiken wie für stationäre Rechner. Auf dem beschriebenen Weg 
dürfte es somit möglich sein, alle auf dem Endgerät verfügbaren Daten auszu- 
spähen. Es werden solche Daten ausgespäht, die Kriminellen Nutzen bringen. 
Dies beinhaltet u. a. Adressdaten von Kontakten, Bankzugangsdaten, Kredit- 
kartendaten, Lokalisierungsdaten (siehe auch Antwort zu Frage lb). 


7. In wie vielen Fällen wurde nach Kenntnis der Bundesregierung mit durch 
manipulierte Apps errungenen Daten Kreditkartenbetrug begangen? 

Zu der Anzahl manipulierter Apps und deren Folgen wird auf die Antwort zu 
Frage 4 verwiesen. 


8. Wird die Bundesregierung Konsequenzen aus den Angriffen auf Smart- 
phones ziehen? 

Wenn ja, wie sehen diese aus? 

Wenn nein, warum nicht? 

Das Beschaffungsamt des Bundesministeriums des Innern (BMI) hat im Auf- 
trag des BSI die Ausschreibung von Rahmenverträgen über die Lieferung von 
sicheren mobilen Endgeräten für Sprach- und Datenkommunikation für den 
Einsatz in der Bundesverwaltung eingeleitet. 

Das BKA trägt der Entwicklung im Bereich Cybercrime mit einer entsprechen- 
den Schwerpunktsetzung in der Abteilung „Schwere und Organisierte Krimina- 
lität“ Rechnung. Die im Rahmen der originären bzw. Zentralstellen-Aufgaben- 
wahrnehmung gewonnenen Erkenntnisse werden mit anderen Sicherheitsbehör- 
den ausgetauscht und in diesem Kontext auch für präventive Zwecke aufberei- 
tet. 

Maßnahmen zum Schutz der Verbraucher sind durch die dafür zuständigen In- 
stitutionen zu ergreifen. 

Im Übrigen wird auf die Antwort zu Frage 12 verwiesen. 
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9. Setzt die Bundesregierung manipulierte Apps, Viren oder Malwaresoft- 
ware für Smartphones zu Ermittlungszwecken ein? 

Wenn ja, 

a) wie oft war das bisher der Fall, 

b) in welchem Zusammenhang wurde diese Technik genutzt, 

c) auf welcher gesetzlichen Grundlage und 

d) mit welchem Ergebnis? 

Ermittlungen werden grundsätzlich von Ermittlungsbehörden geführt. Auf die 
Antwort zu Frage 10 wird verwiesen. 

10. Setzen Ermittlungsbehörden nach Kenntnis der Bundesregierung mani- 
pulierte Apps, Viren oder Malwaresoftware zu Ermittlungszwecken ein? 

Wenn ja, 

a) welche, 

b) wie oft war das bisher der Fall, 

c) in welchem Zusammenhang wurde diese Technik genutzt, 

d) auf welcher gesetzlichen Grundlage und 

e) mit welchem Ergebnis? 

Die Ermittlungsbehörden auf Bundesebene setzen keine Apps, Viren oder Mal- 
ware zu Ermittlungszwecken auf Smartphones ein. 

11. Ist der Bundesregierung bekannt, welche Möglichkeiten die Bürgerinnen 
und Bürger haben, sich vor Angriffen auf Smartphones zu schützen? 

Wenn ja, welche sind dies? 

Bürger können folgende Schutzmaßnahmen zur Reduzierung der Angriffswahr- 
scheinlichkeit auf ihren Smartphones umsetzen: 

• Betriebssystem-Software aktuell halten 

• Sicherheitsmechanismen des Betriebssystems nutzen (nicht „Rooten“ oder 
Jailbreaken“); 

• nur tatsächlich benötigte Applikation, aus vertrauenswürdiger Quelle, instal- 
lieren; 

• ggf. Sicherheitssoftware auf dem Smartphone installieren. 

12. Welche Maßnahmen schlägt die Bundesregierung vor, und welche hat sie 
bereits durchgeführt, um auf die Bedrohung durch manipulierte Apps auf- 
merksam zu machen? 

Das Bundesministerium des Innern hat auf die zunehmende Bedeutung des 
Themas „Mobile Sicherheit“ reagiert und es in den Fokus des diesjährigen IT- 
Gipfelprozesses gerückt. So beschäftigt sich eine Unterarbeitsgruppe der durch 
Bundesinnenminister Dr. Hans-Peter Friedrich gemeinsam mit Dr. Ottenberg, 
dem Vorsitzenden der Geschäftsführung von Giesecke&Devrient, geleiteten 
AG 4 „Vertrauen, Sicherheit und Datenschutz“ mit der Thematik Mobile 
Sicherheit. Im Rahmen dieses Prozesses wurde die Umfrage initiiert, auf der die 
Fragestellung basiert. 

Die Thematik stellte einen Schwerpunkt des diesjährigen IT-Gipfels am 13. No- 
vember in Essen dar. So diskutierten im Rahmen einer Podiumsdiskussion der 
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Bundesminister des Innern, Dr. Hans-Peter Friedrich, die Bundesbeauftragte 
für Informationstechnik, Staatssekretärin Rogall-Grothe, Schaar (BfDI), Dr. 
Ottenberg (G&D), Koederitz (IBM), Streibich (Software AG) und Witt (Stu- 
dent am HPI) zum Thema „Mobile Sicherheit - Mobiles Leben“. 

Im Rahmen des IT-Gipfels starteten die Bundeskanzlerin Dr. Angela Merkel 
und die Staatssekretärin Rogall-Grothe „GovApps“, eine Informationsplattform 
für öffentliche mobile Anwendungen. 

Darüber hinaus bilden Hinweise auf die Gefahren und Handlungsempfehlungen 
bei der Nutzung von Smartphones einen Schwerpunkt in der Informations- 
und Sensibilisierungsarbeit des BSI (vgl. www.bsi-fuer-buerger.de, Haupt- 
navigationspunkt: Sicher bewegen im mobilen Netz). Dies wird im Bedarfsfall 
ergänzt durch aktuelle Warnungen über den E-Mail-Newsletter Bürger-CERT 
(www.buerger-cert.de) bzw. Pressemeldungen des BSI, z. B. bei akuten An- 
griffswellen oder bei neu gewonnener Erkenntnis über Sicherheitslücken in Be- 
triebssystemen oder Anwendungsprogrammen mit Bezug zu Smartphones. 

Das BSI greift anlassbezogen aktiv die Thematik im Rahmen seiner Öffentlich- 
keits- und Pressearbeit auf, z. B. mit Handlungsempfehlungen (Pressemeldung 
vom 1. Juni 2012 und Themenseiten in www.bsi-fuer-buerger.de) wie „Som- 
mer, Sonne, Strand und Meer — sicheres Surfen im Ausland: Wie Sie Ihre mobi- 
len Geräte während Ihres Urlaubs schützen.“ 

Zudem setzt das BSI bei Veranstaltungen u. Ä. Druckschriften zur Unter- 
stützung der Sensibilisierungsarbeit zum Thema Mobile Sicherheit ein 
(vgl. www.bsi-fi.ier-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/ 
Downloads/Broschueren/broschuerennode.html) und stellt auf seiner Inter- 
netseite zu aktuellen Themen Überblickspapiere zur Verfügung, wie: „Über- 
blickspapier Smartphone“ (www.bsi.bund.de/DE/Themen/ITGrundschutz/ 
Ueberblickspapiere/U eberblickspapiere_node.html) 

Auch die vom Bundesministerium für Ernährung, Landwirtschaft und Verbrau- 
cherschutz geforderte Internetseite des Verbraucherzentrale Bundesverbandes 
e. V. „surfer-haben-rechte“ hält Informationen zu Smartphones bereit (vgl. 
www.surfer-haben-rechte.de/cps/rde/xchg/digitahechte/hs.xsl/1479.htm). 


1 3 . Will die Bundesregierung den immer häufiger auftretenden Angriffen auf 
Smartphones entgegenwirken? 

a) Wenn ja, wie? 

b) Wenn nein, wamm nicht? 

Das BSI ist in Kontakt zu Herstellern, Netzbetreibern und Sicherheitsunterneh- 
men, um die Maßnahmen gegen Angriffe auf Smartphones auf verschiedenen 
Ebenen zu verbessern. Darüber hinaus informiert und sensibilisiert das BSI die 
Nutzer von Smartphones (vgl. Antwort zu Frage 12). 


14. Wird die Bundesregiemng die Vertreiber von Applikationen auffordem, 
entsprechende Schritte gegen die VerbreiUmg von manipulierten Apps 
einzuleiten und ihr Angebot besser zu kontrollieren? 

Wenn ja, wie sehen diese aus? 

Wenn nein, warum nicht? 

Große Vertreiber von Apps haben bereits Maßnahmen zur Überprüfung von 
Apps etabliert. Diese werden kontinuierlich angepasst. Die konkreten Maßnah- 
men können jedoch nicht national festgelegt werden, da diese Vertreiber ihre 
Apps weltweit anbieten. Im Übrigen verweise ich auf die Antwort zu Frage 13. 
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